
Co znajdziesz w tym artykule?
Czy potrafimy nazwać to czemu jesteśmy wciąż poddawani?
Ciągle jesteśmy autoryzowani, identyfikowani i uwierzytelniani przez różne systemy. Pomimo tego zauważam, że mnóstwo osób nie widzi różnicy między tymi pojęciami. Różnica nie jest bolesna i nie niesie za sobą konsekwencji o ile obie strony rozumieją co mają na myśli. Nawet posługując się niewłaściwym słownictwem będą w stanie się zrozumieć. Problem zaczyna się gdy czytając raporty lub ucząc się ktoś nieświadomie wprowadza nas w niezrozumienie lub utrwala błędne definicje.
Co zatem te słowa właściwie znaczą? W tym wpisie odpowiemy sobie również dlaczego uwierzytelnianie dwuetapowe powinno być niezbędne w naszej codziennej pracy.
Autoryzacja (ang. authorization) – proces nadawania podmiotowi dostępu do zasobu.
Identyfikacja (identification) – podmiot deklaruje swoją tożsamość (identity)
Uwierzytelnianie (ang. authentication, niepopr. „autentykacja”, „autentyfikacja”) – proces polegający na potwierdzeniu zadeklarowanej tożsamości podmiotu. Akt wskazania tożsamości.
Zdaje sobie sprawę, że pomimo przytoczenia definicji nadal mogą być one niezrozumiałe.
Wyjaśnijmy to jeszcze raz na przykładzie


Aby jeszcze bardziej uprościć sprawę, posłużymy się następującym przykładem. Załóżmy, że użytkownik chce zalogować się do swojego konta pocztowego w usłudze Office365 – to dobry przykład. Etapy przez które musi przejść wyglądać będą mniej więcej tak:
- Najpierw system prosi o podanie loginu. Użytkownik go wprowadza, a system rozpoznaje jako prawdziwy. To jest identyfikacja.
- Następnie system prosi o podanie hasła. Użytkownik je wprowadza, a jeśli pasuje ono do loginu, system potwierdza, że użytkownik jest tym za kogo się podaje. To jest uwierzytelnianie.
- Jeśli mamy włączoną odpowiednią funkcję system prosi następnie o podanie kodu jednorazowego. Jeśli użytkownik wprowadzi poprawny kod, system ostatecznie zgodzi się, że osoba ta jest prawdziwym właścicielem konta. To jest uwierzytelnianie dwuetapowe zwane również uwierzytelnianiem wielopoziomowym.
- Ostatecznie system uprawnia użytkownika do odczytywania wiadomości w swojej skrzynce pocztowej. To jest autoryzacja.
Jak widzisz na załączonym przykładzie uwierzytelnienie bez uprzedniej identyfikacji nie ma sensu. Sprawdzanie nie wiadomo kogo nie ma sensu. Trzeba się najpierw zidentyfikować użytkownika.
To jak to jest z tym dwuetapowym uwierzytelnianiem?


Uwierzytelnianie dwuskładnikowe (często skracane do 2FA) zapewnia „podwójne sprawdzanie”, że naprawdę jesteś osobą, za którą się podajesz. Sposób ten jest dostępny w większości powszechnych usług online, takich jak bankowość, poczta e-mail lub media społecznościowe.
Podczas konfigurowania 2FA usługa poprosi Cię o podanie „drugiego składnika”, do którego masz dostęp tylko Ty.
Drugim składnikiem mogą być różne rzeczy:
- kod wysyłany do Ciebie SMS-em,
- kod utworzony przez aplikację zainstalowaną na Twoim urządzeniu mobilnym,
- kod znajdujący się ba liście wcześniej wygenerowanych,
- biometria,
- itp.
Przykładowo – bankowość internetowa ma prawny obowiązek korzystać z uwierzytelnienia dwuskładnikowego, aby zmniejszyć ryzyko nieuprawnionego dostępu do kont klientów.
Dlaczego powinienem używać 2FA?


Hasła mogą zostać skradzione przez cyberprzestępców. Potencjalnie dostaną dzięki nim dostęp do twoich kont internetowych. Jednak konta skonfigurowane do korzystania z 2FA będą wymagały dodatkowego uwierzytelnienia. Nawet jeśli przestępca zna twoje hasło, nie będzie mógł uzyskać dostępu do twoich kont. Więcej o 2FA i MFA możesz przeczytać TUTAJ.
Jednym z najbardziej popularnych kluczy do 2FA jest Yubikey.
Podsumowanie


Mam nadzieję, że teraz już wiesz, czym różni się autoryzacja od identyfikacja i uwierzytelniania. Pamiętaj, że to właśnie etap uwierzytelniania jest najważniejszym etapem przy uzyskiwaniu dostępu do systemu. Nie bagatelizuj zagrożenia wynikającego np. z używania słabego hasła albo co gorsza jednego hasła w kilku systemach. Jeśli tylko możesz korzystaj z dwuetapowej weryfikacji.

